Kaikki mitä sinun tulee tietää Aurorasta

Tammikuussa 2010 Google paljasti, että se oli joutunut Kiinasta peräisin olevan kehittyneen kyberhyökkäyksen uhriksi. Hyökkääjät kohdistuivat Googlen yritysverkkoon, mikä johti immateriaalivarkauksiin ja ihmisoikeusaktivistien Gmail-tileihin. Googlen lisäksi hyökkäys kohdistui yli 30 yritykseen fintech-, media-, internet- ja kemian aloilla.

Nämä hyökkäykset suoritti kiinalainen Elderwood Group, ja turvallisuusasiantuntijat kutsuivat ne myöhemmin nimellä Operation Aurora. Mitä siis oikein tapahtui? Miten se toteutettiin? Ja mitkä olivat operaatio Aurora seuraukset?

Mikä on operaatio Aurora?

Operaatio Aurora oli sarja kohdistettuja kyberhyökkäyksiä kymmeniä organisaatioita vastaan, mukaan lukien Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace ja Dow Chemicals. Google jakoi ensin yksityiskohdat hyökkäyksistä blogikirjoituksessa, jossa väitettiin, että nämä olivat valtion tukemia hyökkäyksiä.

Pian Googlen ilmoituksen jälkeen yli 30 muuta yritystä paljasti, että sama vastustaja oli murtautunut heidän yritysverkkoihinsa.

Hyökkäysten nimi tulee haittaohjelman viittauksista "Aurora"-nimiseen kansioon, jonka MacAfeen tutkijat löysivät yhdeltä hyökkääjien käyttämistä tietokoneista.

Kuinka hyökkäys toteutettiin?

Tämä kybervakoiluoperaatio aloitettiin käyttämällä keihäs-phishing-tekniikka. Aluksi kohteena olevat käyttäjät saivat haitallisen URL-osoitteen sähköpostissa tai pikaviestissä, joka aloitti tapahtumasarjan. Kun käyttäjät napsauttavat URL-osoitetta, se ohjasi heidät verkkosivustolle, joka suoritti lisää haitallista JavaScript-koodia.

JavaScript-koodi hyödynsi Microsoft Internet Explorerin haavoittuvuutta, joka oli tuolloin melko tuntematon. Tällaisia ​​haavoittuvuuksia ovat kutsutaan usein "nollapäivän hyväksikäytöksi".

Nollapäivän hyväksikäyttö mahdollisti haittaohjelmien suorittamisen Windowsissa ja loi kyberrikollisille takaoven. ottaa järjestelmän hallintaan ja varastaa valtakirjat, immateriaalioikeudet tai mitä tahansa muuta ne olivat etsiä.

Mikä oli Aurora-operaation tarkoitus?

Operaatio Aurora oli erittäin hienostunut ja onnistunut hyökkäys. Mutta hyökkäyksen todelliset syyt ovat edelleen epäselviä. Kun Google paljasti Aurora-pommin, se ilmoitti seuraavat syyt ja seuraukset:

• Immateriaaliomaisuuden varkaus: Hyökkääjät kohdistuivat yrityksen infrastruktuuriin, mikä johti immateriaaliomaisuuden varkauksiin.
• Kybervakoilu: Se sanoi myös, että hyökkäykset olivat osa kybervakoiluoperaatiota, jolla yritettiin tunkeutua kiinalaisten toisinajattelijoiden ja ihmisoikeusaktivistien Gmail-tileille.

Kuitenkin muutamaa vuotta myöhemmin vanhempi johtaja Microsoftin kehittyneen teknologian instituutti totesi, että hyökkäysten tarkoituksena oli itse asiassa tutkia Yhdysvaltain hallitusta ja tarkistaa, oliko se paljastanut Yhdysvalloissa tehtäviään suorittavien salaisten kiinalaisten agenttien henkilöllisyyden.

Miksi operaatio Aurora sai niin paljon huomiota?

Operaatio Aurora on hyökkäysten luonteen vuoksi laajalti keskusteltu kyberhyökkäys. Tässä on muutamia avainkohtia, jotka tekevät siitä erottuvan:

• Tämä oli erittäin kohdennettu kampanja, jossa hyökkääjillä oli perusteellinen tiedustelu kohteistaan. Tämä saattaa viitata suuremman organisaation ja jopa kansallisvaltioiden toimijoiden osallistumiseen.
• Kybertapahtumia tapahtuu jatkuvasti, mutta monet yritykset eivät puhu niistä. Googlen kaltaiselle pitkälle kehittyneelle yritykselle sen julkistaminen on iso juttu.
• Monet turvallisuusasiantuntijat pitävät Kiinan hallitusta vastuussa hyökkäyksistä. Jos huhut pitävät paikkansa, sinulla on tilanne, jossa hallitus hyökkää yrityskokonaisuuksia vastaan ​​tavalla, jota ei ole koskaan paljastettu.

Operaatio Aurora jälkimainingeissa

Neljä kuukautta iskujen jälkeen Google päätti lopettaa toimintansa Kiinassa. Se lopetti Google.com.cn: n ja ohjasi kaiken liikenteen osoitteeseen Google.com.hk – Google-versioon Hongkongille, koska Hongkongilla on erilaisia ​​lakeja kuin Manner-Kiinassa.

Google myös rakensi uudelleen lähestymistapaansa vähentääkseen tällaisten tapausten toistumisen mahdollisuuksia. Se toteutti nolla-luottamusarkkitehtuuri nimeltä BeyondCorp, joka on osoittautunut hyväksi päätökseksi.

Monet yritykset tarjoavat tarpeettomasti korotettuja käyttöoikeuksia, joiden ansiosta ne voivat tehdä muutoksia verkkoon ja toimia ilman rajoituksia. Joten jos hyökkääjä löytää tien järjestelmään, jolla on järjestelmänvalvojan oikeudet, hän voi helposti väärinkäyttää näitä oikeuksia.

Nollaluottamusmalli toimii vähiten etuoikeuksia koskevat periaatteet ja nano-segmentointi. Se on uusi tapa luoda luottamus, jossa käyttäjät voivat käyttää vain niitä verkon osia, joita he todella tarvitsevat. Joten jos käyttäjän tunnistetiedot vaarantuvat, hyökkääjät voivat käyttää vain kyseisen käyttäjän käytettävissä olevia työkaluja ja sovelluksia.

Myöhemmin monet muut yritykset alkoivat omaksua nollaluottamuksen paradigman sääntelemällä pääsyä arkaluonteisiin työkaluihin ja sovelluksiin verkoissaan. Tavoitteena on tarkistaa jokainen käyttäjä ja vaikeuttaa hyökkääjien mahdollisuuksia aiheuttaa laajaa vahinkoa.

Puolustaminen operaatiota Auroraa ja vastaavia hyökkäyksiä vastaan

Operation Aurora -hyökkäykset paljastivat, että jopa organisaatiot, joilla on merkittäviä resursseja, kuten Google, Yahoo ja Adobe, voivat silti joutua uhriksi. Jos suuret IT-yritykset, joilla on valtava rahoitus, voidaan hakkeroida, pienempien yritysten, joilla on vähemmän resursseja, on vaikea puolustautua tällaisia ​​hyökkäyksiä vastaan. Operaatio Aurora opetti meille kuitenkin myös tärkeitä opetuksia, jotka voivat auttaa meitä puolustautumaan vastaavia hyökkäyksiä vastaan.

Varo sosiaalista tekniikkaa

Hyökkäykset korostivat inhimillisen elementin riskiä kyberturvallisuudessa. Ihminen on hyökkäysten ensisijainen levittäjä, ja tuntemattomien linkkien napsautuksen sosiaalinen suunnittelu ei ole muuttunut.

Jotta Auroran kaltaiset hyökkäykset eivät toistu, yritysten on palattava asiaan tietoturvan perusteet. Heidän on koulutettava työntekijöitä turvallisista kyberturvallisuuskäytännöistä ja siitä, kuinka he ovat vuorovaikutuksessa teknologian kanssa.

Hyökkäysten luonne on kehittynyt niin pitkälle, että kokeneenkin tietoturva-ammattilaisen on vaikea tehdä erottaa hyvän URL-osoitteen haitallisesta.

Käytä salausta

VPN-verkkoja, välityspalvelimia ja useita salauskerroksia voidaan käyttää haitallisen viestinnän piilottamiseen verkossa.

Vaarallisten tietokoneiden viestinnän havaitsemiseksi ja estämiseksi tulee valvoa kaikkia verkkoyhteyksiä, erityisesti yrityksen verkon ulkopuolelle meneviä. Epänormaalin verkkotoiminnan tunnistaminen ja tietokoneesta lähtevän tiedon määrän seuranta voi olla hyvä tapa arvioida sen kunto.

Suorita tietojen suorittamisen esto

Toinen tapa minimoida tietoturvauhat on suorittaa Data Execution Prevention (DEP) -toiminto tietokoneellasi. DEP on suojausominaisuus, joka estää luvattomien komentosarjojen suorittamisen tietokoneen muistissa.

Voit ottaa sen käyttöön menemällä osoitteeseen Järjestelmä ja suojaus > Järjestelmä > Järjestelmän lisäasetukset Ohjauspaneelissa.

DEP-ominaisuuden ottaminen käyttöön vaikeuttaa hyökkääjien kykyä suorittaa Auroran kaltaisia ​​hyökkäyksiä.

Aurora ja tie eteenpäin

Maailma ei ole koskaan ollut niin alttiina valtion tukemien hyökkäysten riskeille kuin nyt. Koska useimmat yritykset luottavat nyt etätyövoimaan, turvallisuuden ylläpitäminen on vaikeampaa kuin koskaan.

Onneksi yritykset ovat nopeasti omaksumassa nollaluottamustietoturvalähestymistapaa, joka toimii periaatteella, ettei kukaan luota ilman jatkuvaa todentamista.

Debunked: 6 myyttiä nollaluottamuksesta

Zero Trust -malli on tehokas tapa rajoittaa tietomurtoja, mutta sen toteuttamisesta on liian monia väärinkäsityksiä.

Lue Seuraava

Kirjailijasta